TOMO 1.pdf

TOMO I

Lnea de Investigacin

Redes y Sistema Operativo

Nombre del Egresado

Marixelinda Lisbeth Espaa Escobar

Nombre del Tema

Gua de Implementacin de una DMZ (Zona Desmilitarizada)

para la Empresa ITCORP

Nmero de Proyecto

16

Nombre del Tutor

Ing. Francisco Palacios

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN SISTEMAS

COMPUTACIONALES

GUA DE IMPLEMENTACIN DE UNA DMZ

(ZONA DESMILITARIZADA)

PARA LA EMPRESA IT/CORP

TESIS DE GRADO Previa a la obtencin del Ttulo de:

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTOR: MARIXELINDA LISBETH ESPAA ESCOBAR

TUTOR: ING. FRANCISCO PALACIOS ORTIZ

GUAYAQUIL ECUADOR

2011

i


PORTADA



COMPUTACIONALES



PARA LA EMPRESA IT/CORP

TESIS DE GRADO

Previa a la obtencin del Ttulo de:

INGENIERO EN SISTEMAS COMPUTACIONALES

MARIXELINDA LISBETH ESPAA ESCOBAR

TUTOR: ING. FRANCISCO PALACIOS ORTIZ

GUAYAQUIL ECUADOR

2011

Guayaquil,.del 2011

APROBACION DEL TUTOR

En mi calidad de Tutor del trabajo de investigacin, GUA DE

IMPLEMENTACIN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA

EMPRESA IT/CORP elaborado por el Srta. MARIXELINDA LISBETH ESPAA

ESCOBAR, egresado de la Carrera de Ingeniera en Sistemas Computacionales,

Facultad de Ciencias Matemticas y Fsicas de la Universidad de Guayaquil, previo a

la obtencin del Ttulo de Ingeniero en Sistemas, me permito declarar que luego de

haber orientado, estudiado y revisado, la Apruebo en todas sus partes.

Atentamente

.

Ing. Francisco Palacios Ortiz

TUTOR

DEDICATORIA

Dedico esta tesis primeramente a Dios y a mis seres ms queridos y a todas las personas que estuvieron a mi lado, por haberme apoyado a lo largo de la trayectoria de esta carrera.

A mis padres que han sabido guiarme y proporcionarme orientacin moral, a mis hermanas, por su sustento incondicional y creer en m para poder lograr este triunfo profesional.

AGRADECIMIENTO

Al culminar esta carrera valiosa, tengo a bien agradecer de manera especial a Dios por proporcionarme la fuerza para seguir adelante, a los profesores y compaeros con quienes compartimos grandes momentos de apoyo, ayuda, alegra, y sabias enseanzas durante esta carrera profesional, debido a que logramos cultivar la preciada semilla del saber y el amor por el estudio. A mis padres que de alguna manera han estado junto a m, ayudndome, apoyndome en todo momento para que concluya esta carrera profesional, debido a que es un sueo hecho realidad para ellos y para m, igualmente quiero agradecer a todas las personas que estuvieron a mi lado brindndome su apoyo incondicional, les quedo eternamente agradecida.

TRIBUNAL DE GRADO

Ing. Fernando Abad Montero Ing. Juan Chanab Alccer DECANO DE LA FACULTAD DIRECTOR CIENCIAS MATEMATICAS Y FISICAS Ing. Francisco Palacios Ortiz Nombre y Apellidos TUTOR PROFESOR DEL REA - TRIBUNAL

AB. Juan Chvez A.

SECRETARIO




COMPUTACIONALES



PARA LA EMPRES IT/CORP

Proyecto de trabajo de grado que se presenta como requisito para optar por el ttulo de

INGENIERO en SISTEMAS COMPUTACIONALES

Autor/a: Marixelinda Lisbeth Espaa Escobar.

C.I.: 120611239-1

Tutor: Ing. Francisco Palacios Ortiz.

Guayaquil, ______ de 2011

Mes

ii

CERTIFICADO DE ACEPTACIN DEL TUTOR

En mi calidad de Tutor del Segundo Curso de Fin de Carrera, nombrado por el Departamento de Graduacin y la Direccin de la Carrera de Ingeniera en Sistemas Computacionales de la Universidad de Guayaquil,

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por el/el egresado (a) Marixelinda Lisbeth Espaa Escobar, como requisito previo para optar por el ttulo de Ingeniero cuyo problema es:

______________________________________________________________

______________________________________________________________

______________________________________________________________

______________________________________________________________

Presentado por:

Espaa Escobar Marixelinda Lisbeth 120611239-1

Apellidos y Nombres Completos Cdula de ciudadana N

_________________________ Tutor: Ing. Francisco Palacios Ortiz.

Guayaquil, ______ de 2011 Mes

iii

NDICE GENERAL

PORTADA ................................................................................................................................ i

CERTIFICADO DE ACEPTACIN DEL TUTOR ........................................................... ii

NDICE GENERAL .............................................................................................................. iii

NDICE DE CUADROS ....................................................................................................... vii

NDICE DE GRFICOS .................................................................................................... viii

RESUMEN............................................................................................................................. xii

INTRODUCCIN .................................................................................................................. 1

CAPITULO I ........................................................................................................................... 3

EL PROBLEMA ..................................................................................................................... 3

PLANTEAMIENTO DEL PROBLEMA .............................................................................. 3 UBICACIN DEL PROBLEMA EN UN CONTEXTO .................................................................... 3 SITUACIN CONFLICTO NUDOS CRTICOS .............................................................................. 4 CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................................................ 5 DELIMITACIN DEL PROBLEMA ................................................................................................. 6 FORMULACIN DEL PROBLEMA ................................................................................................ 7 EVALUACIN DEL PROBLEMA ................................................................................................... 8

OBJETIVOS ............................................................................................................................ 9 OBJETIVO GENERAL ................................................................................................................. 9 OBJETIVOS ESPECFICOS ....................................................................................................... 10

ALCANCES........................................................................................................................... 11

JUSTIFICACIN E IMPORTANCIA ............................................................................... 12

CAPTULO II ....................................................................................................................... 14

MARCO TERICO ............................................................................................................. 14 ANTECEDENTES DEL ESTUDIO ................................................................................................. 14 FUNDAMENTACIN TERICA ................................................................................................... 17

RED DE COMPUTADORAS ...................................................................................................... 17 MODELO OSI .............................................................................................................................. 17

Capas Del Modelo OSI ............................................................................................................ 19 Capa Fsica .......................................................................................................................... 19 Capa De Enlace ................................................................................................................... 19

iv

Capa De Red ....................................................................................................................... 19 Capa De Transporte ............................................................................................................. 20 Capa De Sesin ................................................................................................................... 21 Capa De Presentacin ......................................................................................................... 21 Capa De Aplicacin ............................................................................................................ 21

MODELO TCP/IP ........................................................................................................................ 22 Capas Del Modelo TCP/IP ....................................................................................................... 23

Capa De Acceso A La Red .................................................................................................. 23 Capa De Internet ................................................................................................................. 23 Capa De Transporte ............................................................................................................. 23 Capa De Aplicacin ............................................................................................................ 24

DIRECCIONES IP ....................................................................................................................... 24 Clases De Direcciones IP ......................................................................................................... 25

Direcciones De Clase A ...................................................................................................... 25 Direcciones De Clase B....................................................................................................... 26 Direcciones De Clase C....................................................................................................... 26 Direcciones De Clase D, E y F ............................................................................................ 26

SEGURIDAD INFORMTICA .................................................................................................. 27 POLTICAS DE SEGURIDAD ................................................................................................... 27 TIPOS DE ATAQUE ................................................................................................................... 28

Spoofing ................................................................................................................................... 28 Sniffing .................................................................................................................................... 28 Negaciones de Servicio (DoS) ................................................................................................. 28 Barridos PING ......................................................................................................................... 29 Escaneo de puertos ................................................................................................................... 29

PARA EVITAR ATAQUES EN LA RED ................................................................................... 30 SERVIDORES ............................................................................................................................. 30

Servidor DNS ........................................................................................................................... 30 Servidor DHCP ........................................................................................................................ 31 Servidor De Correo .................................................................................................................. 31 Servidor de FTP ....................................................................................................................... 32

ZONA DESMILITARIZADA (DMZ) ......................................................................................... 32 HISTORIA DE LA DMZ ............................................................................................................. 35 FIREWALL .................................................................................................................................. 35

Categoras De Los Firewall ..................................................................................................... 36 Firewalls de Filtracin de Paquetes (choke) ........................................................................ 36

v

Servidores Proxy a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) ....................... 38 Firewalls de Inspeccin de Paquetes (SPI, Stateful Packet Inspection). ............................. 40

TIPOS DE FIREWALL ........................................................................................................... 41 Firewall Appliance (Basados En Hardware) ....................................................................... 41 Firewall Basados En Software ............................................................................................ 55

ANLISIS COMPARATIVO ................................................................................................. 62 FUNDAMENTACIN LEGAL ....................................................................................................... 64 HIPTESIS ....................................................................................................................................... 65 VARIABLES DE LA INVESTIGACIN ........................................................................................ 65

VARIABLE INDEPENDIENTE .................................................................................................. 66 VARIABLE DEPENDIENTE ...................................................................................................... 66

DEFINICIONES CONCEPTUALES ................................................................................................ 67

CAPTULO III ...................................................................................................................... 69

METODOLOGA ................................................................................................................. 70

DISEO DE LA INVESTIGACIN .................................................................................. 70 MODALIDAD DE LA INVESTIGACIN ...................................................................................... 70

TIPO DE INVESTIGACIN ....................................................................................................... 71 POBLACIN Y MUESTRA ............................................................................................................ 71 OPERACIONALIZACIN DE VARIABLES ................................................................................. 71 INSTRUMENTOS DE RECOLECCIN DE DATOS ..................................................................... 72

LA TCNICA .............................................................................................................................. 73 INSTRUMENTOS DE LA INVESTIGACIN ........................................................................... 73 VALIDACIN ............................................................................................................................. 75

PROCEDIMIENTOS DE LA INVESTIGACIN ............................................................................ 75 RECOLECCIN DE LA INFORMACIN ..................................................................................... 76 PROCESAMIENTO Y ANLISIS ................................................................................................... 78 CRITERIOS DE VALIDACIN DE LA PROPUESTA .................................................................. 79

CAPTULO IV ...................................................................................................................... 80

GUA DE IMPLEMENTACIN DE UNA DMZ EN LA RED DE LA EMPRESA

IT/CORP ................................................................................................................................ 80 DESCRIPCIN DEL DISEO ACTUAL DE LA EMPRESA IT/CORP ....................................... 81 DESCRIPCIN DEL DISEO RECOMENDADO PARA LA EMPRESA IT/CORP ................... 84

CONFIGURACIN DE LOS SERVICIOS DE LA EMPRESA IT/CORP .................... 87 SERVIDOR FTP ............................................................................................................................... 88 SERVIDOR DE CORREO ................................................................................................................ 94

vi

SERVIDOR PROXY....................................................................................................................... 103 SERVIDOR DNS Y DHCP ............................................................................................................. 112

CONFIGURACION DEL FIREWALL ............................................................................ 116

POLTICAS DE LA DMZ ................................................................................................. 117

CAPTULO V...................................................................................................................... 127

MARCO ADMINISTRATIVO .......................................................................................... 127 CRONOGRAMA ............................................................................................................................ 127 PRESUPUESTO ............................................................................................................................. 130

CAPTULO VI .................................................................................................................... 132

CONCLUSIONES Y RECOMENDACIONES ................................................................ 132 CONCLUSIONES ........................................................................................................................... 132 RECOMENDACIONES ................................................................................................................. 134

REFERENCIAS BIBLIOGRFICAS ................................................................................ 96

ANEXOS .............................................................................................................................. 101

vii

NDICE DE CUADROS

CUADRO N. 1: 5CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................... 5

CUADRO N. 2: CARACTERSTICAS Y DESCRIPCIN

3COM OFFICECONNECT ................................................................................................. 44


CISCO ASA 5505.. ........................................................................................ 46


SONICWALL PRO 2040 ..................................................................................................... 48

CUADRO N. 5: CARACTERSTICAS Y DESCRIPCIN------------------------

NETGEAR PROSECURE UTM25 ..................................................................................... 50

CUADRO N. 6: CARACTERSTICAS Y DESCRIPCIN ---------------------------

ZYXEL ZYWALL USG 100 ................................................................................................ 52


BARRACUDA 660 ................................................................................................................ 54

CUADRO N. 8: LISTA DE PRECIOS DE FIREWALL ................................................. 63

CUADRO N. 9: MATRIZ DE OPERACIONALIZACIN DE VARIABLES ............. 71

CUADRO N. 10: DETALLE DE INGRESOS ................................................................ 130

CUADRO N. 11: DETALLE DE EGRESOS .................................................................. 131

CUADRO N. 12: RESULTADOS PREGUNTA 1 DE LA ENCUESTA ...................... 106





viii

NDICE DE GRFICOS

GRFICO N. 1: CAPAS DE MODELO OSI ................................................................... 18

GRFICO N. 2: CAPAS DE MODELO TCP/IP ............................................................. 22

GRFICO N. 3: CAPAS DE MODELO SCREENED SUBNET ................................... 34

GRFICO N. 4: FILTRACIN DE PAQUETES (CHOKE) ......................................... 37

GRFICO N. 5: PROXY GATEWAY .............................................................................. 39

GRFICO N. 6: INSPECCIN DE PAQUETES ............................................................ 40

GRFICO N. 7: 3COM OFFICECONNECT .................................................................. 43

GRFICO N. 8: ASA 5505 ................................................................................................. 45

GRFICO N. 9: SONICWALL PRO 2040 ....................................................................... 47

GRFICO N. 10: NETGEAR PROSECURE UTM25 .................................................... 49

GRFICO N. 11: ZYXEL ZYWAL USG100 ................................................................... 51

GRFICO N. 12: BARRACUDA 660 ............................................................................... 53

GRAFICO N. 13: DISEO ACTUAL DE LA EMPRESA IT/CORP ............................ 81

GRAFICO N. 14: DISEO DE RED RECOMENDADO ............................................... 84

GRFICO N. 15: CONFIGURACION DEL SERVIDOR FTP ..................................... 92

GRFICO N. 16: CONFIGURACION DE ARCHIVO HOST -----------------------------

PARA ZIMBRA .................................................................................................................... 95

GRFICO N. 17: LIBRERIAS FALTANTES EN LA INSTALACIN--------------------

DE ZIMBRA.......................................................................................................................... 96

GRFICO N. 18: LIBRERIAS FALTANTES EN LA INSTALACIN--------------------

DE ZIMBRA.......................................................................................................................... 97

GRFICO N. 19: PROCESO DE INSTALACIN DE ZIMBRA ................................. 98

GRFICO N. 20: ERROR DE DNS EN INSTALACIN DE ZIMBRA ...................... 99

ix

GRFICO N. 21: MENU DE CONFIGURACIN DE ZIMBRA ............................... 100

GRFICO N. 22: SERVICIOS DE ZIMBRA ................................................................ 101

GRFICO N. 23: CONSOLA DE ADMINISTRACIN DE ZIMBRA ...................... 102

GRFICO N. 24: CONFIGURACION SERVIDOR PROXY ...................................... 111

GRFICO N. 25: ASISTENTE DE CONFIGURACION DE DNS Y DHCP ............. 113

GRFICO N. 26: CONFIGURACION DE DNS Y DHCP ........................................... 114

GRFICO N. 27: CONFIGURACION DE FIREWALL .............................................. 123

GRFICO N. 28: AADIR REGLAS EN EL FIREWALL ......................................... 125

GRFICO N. 29: CRONOGRAMA DE ACTIVIDADES ........................................... 127

GRFICO N. 30: DIAGRAMA DE GANTT PARTE #1 ........................................... 128

GRFICO N. 31: DIAGRAMA DE GANTT PARTE #2 ........................................... 129

GRFICO N. 32: PREGUNTA 1 .................................................................................... 106





GRFICO N. 37: INSTALACION DE CENTOS .......................................................... 112

GRFICO N. 38: PROCESO DE VERIFICACION DEL DISCO .............................. 113

GRFICO N. 39: INICIO DE CENTOS ........................................................................ 114

GRFICO N. 40: IDIOMA DE INSTALACIN .......................................................... 115

GRFICO N. 41: IDIOMA DEL TECLADO ................................................................ 116

GRFICO N. 42: PARTICIN DE LA UNIDAD ......................................................... 117

GRFICO N. 43: PARTICIN DE LA UNIDAD ......................................................... 118

GRFICO N. 44: ASIGNACIN DE ESPACIO EN LA UNIDAD ............................. 119

GRFICO N. 45: ESPACIO DISPONIBLE................................................................... 120

x

GRFICO N. 46: PARTICIO SWAP ............................................................................. 121

GRFICO N. 47: PARTICIONES CONFIGURADAS ................................................. 122

GRFICO N. 48: GESTOR DE ARRANQUE ............................................................... 123

GRFICO N. 49: CONFIGURACIN DE RED ........................................................... 124

GRFICO N. 50: ZONA HORARIA .............................................................................. 125

GRFICO N. 51: CONTRASEA ROOT ..................................................................... 126

GRFICO N. 52: MODO GRAFICO GNOME ............................................................. 127

GRFICO N. 53: SELECCIN DE SERVIDORES ..................................................... 128

GRFICO N. 54: ASISTENTE DE CONFIGURACIN ............................................. 129

GRFICO N. 55: CONFIGURACIN DE CONTAFUEGOS ..................................... 130

GRFICO N. 56: CONFIGURACIN DE SELINUX .................................................. 131

GRFICO N. 57: CREACIN DE USUARIO .............................................................. 132

GRFICO N. 58: INICIO DE WINDOWS 2003 SERVER .......................................... 133

GRFICO N. 59: LICENCIA DE WINDOWS SERVER 2003 .................................... 134

GRFICO N. 60: PARTICIN DEL DISCO DURO.................................................... 135

GRFICO N. 61: ASIGNACN DE ESPACIO ............................................................ 136

GRFICO N. 62: UNIDAD DE INSTALACIN DE WINDOWS .............................. 137

GRFICO N. 63: ASIGNACN DE ESPACIO ............................................................ 138

GRFICO N. 64: SELECCIN DE IDIOMA ............................................................... 139

GRFICO N. 65: NMERO DE CONEXIONES CONCURRENTES ....................... 140

GRFICO N. 66: CONTRSEA DE ADMINISTRADOR .......................................... 141

GRFICO N. 67: CONFIGURACIN DE RED ........................................................... 142

GRFICO N. 68: GRUPO DE TRABAJO ..................................................................... 143

GRFICO N. 69: SCRIPT DE WEBMIN ...................................................................... 145

GRFICO N. 70: CONFIGURACIN WEBMIN ........................................................ 146

xi

GRFICO N. 71: IP DE RED LAN (eth0) ...................................................................... 149

GRFICO N. 72: IP DE INTERFAZ WAN (eth1) ........................................................ 150

GRFICO N. 73: IP DE LA DMZ (eth2) ........................................................................ 150

GRFICO N. 74: RED LOCAL ...................................................................................... 151

GRFICO N. 75: PING A LA INTERFAZ DE LA LAN ............................................. 152

GRFICO N. 76: PING A LA INTERFAZ DE LA WAN ............................................ 152

GRFICO N. 77: TELNET A LA INTERFAZ DE LA LAN ....................................... 153

GRFICO N. 78: TELNET DE UN SERVIDOR DE LA DMZ A UN----------------------

EQUIPO DE LA LAN ........................................................................................................ 153

xii




COMPUTACIONALES

GUA DE IMPLEMENTACIN DE UNA DZM



Autor/a: Marixelinda Lisbeth Espaa Escobar. Tutor: Ing. Francisco Palacios Ortiz.

RESUMEN

Actualmente la seguridad de la informacin en la red es un tema predominante para las organizaciones, ya que de ello depende su comunicacin con otras organizaciones y la confiabilidad de los datos que manejan en la red. Por ello la necesidad de contar con una DMZ debido a que nos proporciona un nivel de proteccin adicional en la red de la organizacin. Una DMZ (Zona Desmilitarizada) es una pequea red que se sita entre la red interna o LAN de la organizacin y la red externa o internet, la cual ofrece fiabilidad en el intercambio de la informacin y permite reducir los efectos de ataques maliciosos en la red interna de la organizacin. El objetivo de una DMZ es controlar los accesos que provienen desde el exterior de la red hacia interior de la red de la organizacin y proteger la confidencialidad de los datos manejados a travs de la red. La importancia del presente proyecto radica en ofrecer una gua de implementacin de una DMZ en la empresa IT/CORP, como parte del contenido se encontrara las diferentes alternativas hardware y software que pueden ser utilizadas como Firewall en la red de la empresa, la configuracin de los servicios que estarn contenidos en la DMZ y las polticas que maneja la empresa para los accesos a la red. Se concluy que una DMZ ofrece un nivel adicional en la red de una organizacin, adems se puede contener aislados los servicios de la empresa. Adems por medio de la utilizacin de un software libre se puede disminuir el nivel de inversin de la empresa para implementar una DMZ en la red. Se recomienda tener cuidado en la configuracin de la reglas del Firewall para evitar tener problemas posteriores con los colaboradores de la organizacin.




COMPUTACIONALES

GUA DE IMPLEMENTACIN DE UNA DZM



Autor/a: Marixelinda Lisbeth Espaa Escobar. Tutor: Ing. Francisco Palacios Ortiz.

ABSTRACT

Currently, the information security in the network is a predominant theme for organizations, because it depends on your communication with other organizations and the reliability of data used in the network. Hence the need for a DMZ because it provides an additional level of protection in the network of the organization. A DMZ (Demilitarized Zone) is a small network that sits between your internal network or LAN of the organization and the external network or the Internet, which provides reliability in the exchange of information and reduces the effects of malicious attacks on the network internal organization. The purpose of a DMZ is to control the accesses come from outside the network to the inside of the organization's network and protect the confidentiality of data handled by the network. The importance of this project is to provide guidance for implementing a DMZ in the enterprise IT/CORP, as part of the content found different hardware and software alternatives that can be used as a firewall on the corporate network, configuring services that will be contained in the DMZ and the company that manages policies for network access. It was concluded that a DMZ provides an extra layer in the network of an organization and can contain isolated services company. Also through the use of free software can reduce the level of investment by the company to implement a DMZ on the network. Caution is advised in the configuration of the firewall rules to avoid future problems with employees of the organization.

INTRODUCCIN

El presente proyecto tiene como finalidad realizar una gua con los pasos adecuados

para implementar una DMZ (Zona Desmilitarizada), como medio de proteccin de la

red interna de la empresa IT/CORP1, con el objetivo de mejorar la seguridad de la

institucin a fin de salvaguardar toda la infraestructura tecnolgica (Software,

Hardware) que se pueda comprometer cuando algn intruso pretenda violar la

seguridad.

En la actualidad la seguridad es un tema fundamental para las organizaciones, las

cuales son cada vez ms dependientes de sus redes informticas y un problema, por

mnimo que sea, puede llegar afectar en sus operaciones diarias, la falta de medidas

de seguridad para proteger la informacin confidencial y la popularidad del internet

es un tema que va creciendo diariamente, por ello la importancia de tener una

arquitectura que proporcione un nivel de seguridad mayor, como contar con una

DMZ en la estructura de red de la empresa IT/CORP.

1 IT/CORP, es una empresa asesora en recursos de IT, asesora tecnologa, ofrecen servicios especializados en mantenimiento, helpdesk y administracin de infraestructura, redes, etc. Fuente: http://www.it-corp.com/

Una DMZ (Zona Desmilitarizada) o Red Perimetral, es una red que se ubica entre la

red interna (LAN) de una organizacin y la red pblica (internet) que incorpora

segmentos de red para acceder a los equipos internos de la empresa y la red pblica;

el objetivo de una DMZ es asegurar el intercambio de informacin entre la red

externa y la red interna sin comprometer la seguridad de la empresa IT/CORP.

Contar con una DMZ en la red proporciona un mayor nivel de seguridad y fiabilidad

en la empresa, debido a que se consigue reducir los efectos de un ataque exitoso al

proporcionar un aislamiento de la red interna con la red externa de la organizacin,

sin comprometer la seguridad de la red de la institucin y causar algn tipo de dao.

Si la confidencialidad de la informacin es importante para cualquier individuo, en

una empresa adquiere mayor magnitud, uno de los sistemas operativos utilizados para

implementar una DMZ es Linux debido a que ofrece programas Open Source, lo cual

es beneficioso para la economa de las PYMES (Pequeas Y Medianas Empresas),

sin embargo, no es el nico que puede ser utilizado por cuanto en esta gua trataremos

de recomendar la mejor solucin a implementar, que se adapte al costo/beneficio de la

empresa.

3

CAPITULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIN DEL PROBLEMA EN UN CONTEXTO

La necesidad de mejorar la seguridad en la red para reducir amenazas de seguridad

que se presentan en las labores diarias, nos conlleva a mejorar las distribuciones de

acceso en la red de la empresa IT/CORP, de manera que nos permita realizar un

intercambio de informacin confiable.

Actualmente el acceso a las tecnologas, incrementa las amenazas de seguridad en la

red, debido a los mltiples conocimientos que se adquieren mediante la utilizacin de

internet, los cuales no siempre son utilizados con fines benficos, por lo cual debemos

mantener protegida la red de la empresa da a da, esto se puede lograr mediante la

utilizacin de una DMZ que es un complemento adicional de la infraestructura de red.

4

SITUACIN CONFLICTO NUDOS CRTICOS

Muchos inconvenientes se inician por la falta de estrategias de proteccin contra las

diferentes vulnerabilidades que se presentan diariamente, esto conlleva a que la red se

encuentre expuesta a graves problemas de seguridad, a comprometer su informacin

sensible y por ende su imagen corporativa.

Al principio, las amenazas de internet no eran ms que una molestia, sin embargo, los

maliciosos ataques de hoy en da pueden llegar a entorpecer la actividad comercial de

la empresa IT/CORP, por lo cual se debe disminuir los accesos no autorizados a la red

e incrementar la seguridad para contar una mayor proteccin en la transferencia y

acceso a la informacin.

En esta Gua de Implementacin de una DMZ, se expondr la informacin relevante

que permita al lector conocer como implementar una DMZ dentro de la red de la

empresa IT/CORP, las configuraciones bsicas de los servicios que son accedidos

desde el exterior en la empresa IT/CORP y que estarn contenidos en la DMZ.

5

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Las causas que motivan al problema, es incrementar el nivel de seguridad en los

accesos a los servicios externos que proporciona la empresa IT/CORP, mediante la

utilizacin de una DMZ para cubrir aun ms las vulnerabilidades que se presentan en

la situacin laboral.

CUADRO N. 1

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

CAUSAS CONSECUENCIAS

Exposicin de la informacin

contenida en los servidores.

Libre acceso de personal no

autorizado a la red.

Transferencia de datos no

autorizados.

Incremento de trfico en la red

Utilizar informacin

confidencial de la empresa con

fines perjudiciales.

Prdida de informacin

contenida en la red.

Baja confiablidad en el

intercambio de informacin.

Disminucin de acceso a la red

por lo cual se formaran los

cuellos de botella.

Elaboracin: Marixelinda Espaa Escobar. Fuente: Marixelinda Espaa Escobar.

6

DELIMITACIN DEL PROBLEMA

Se debe tener en cuenta que a diario incrementan la cantidad de personas que desean

violar la seguridad de la red de la empresa IT/CORP, por lo cual contar con una DMZ

es un factor importante debido a que sta se convierte en un callejn sin salida para

cualquiera que desee conectarse ilegalmente a la red.

Para obtener el diseo de red que maneja actualmente la empresa IT/CORP, se

realizara una entrevista al jefe del departamento de redes e infraestructura de la

organizacin, esta entrevista ser realizada con el fin de obtener la informacin

necesaria para la correcta elaboracin del presente proyecto. Adicionalmente se

investigara el diseo de red manejado actualmente por la empresa IT/CORP.

Se efectuaran investigaciones para determinar el tipo de estructura adecuado que se

puede utilizar con una DMZ, el cual se adapte al diseo de red de la empresa

IT/CORP, y determinar el modelo de estructura de DMZ que ser sugerido como

referencia para el diseo de red de la empresa.

7

Se investigara el software, hardware que podran ser utilizados cuando se realice la

implementacin de la DMZ que se sugiere en el presente proyecto para la red de la

empresa IT/CORP, el cual se debe adaptar costo/beneficio que posee actualmente la

organizacin.

Se investigara y configurara los servicios de acceso que se van a restringir y permitir

para los usuarios de la organizacin, con la finalidad de realizar una correcta

configuracin de la DMZ que ser sugerida para la empresa IT/CORP.

FORMULACIN DEL PROBLEMA

Entonces, Por qu no contar con una Zona Desmilitarizada para tener una mayor

proteccin en la arquitectura de red de la empresa IT/CORP?, para prevenir de

accesos no autorizados que pueden comprometer la estabilidad de red de la empresa y

obtener un mayor nivel de seguridad en la organizacin.

8

EVALUACIN DEL PROBLEMA

La elaboracin de la presente gua est orientada a la red de la empresa IT/CORP, la

cual no cuentan con una DMZ en la red, sin embargo, esta gua se orientara en

establecer la mejor forma de implementar una DMZ y que ayude a tener controlado

los accesos a la red que se realizan diariamente en esta institucin.

Contar con una gua de implementacin de una DMZ, es de vital importancia debido

a que ser de gran ayuda para el personal tcnico, el mismo que conocer como

realizar la implementacin y la alta seguridad que se brinda por medio de una Zona

Desmilitarizada.

Una DMZ ayuda a minimizar los riegos de acceso de usuarios no autorizados que

intentan comprometer la seguridad de la red de la empresa IT/CORP, debido a los

distintos riesgos que van creciendo da a da en el entorno tecnolgico.

La gua de implementacin de la DMZ ser redactada de manera precisa y clara con

los pasos adecuados para realizar una implementacin de una DMZ, con la finalidad

de que sea de utilidad para personal tcnico de la empresa IT/CORP.

9

En la actualidad la inseguridad de las redes es un tema que va creciendo

constantemente, por ello se debe mantener una alta seguridad en la red, para prohibir

los accesos no autorizados y minimizar el nivel de riesgo al que est expuesta la

informacin de la empresa IT/CORP.

OBJETIVOS

OBJETIVO GENERAL

Elaborar una gua para realizar una implementacin de una DMZ para la empresa

IT/CORP, con la finalidad de asegurar la infraestructura de red, garantizando la

confiabilidad de los sistemas de informacin e intercambio de servicios que

proporciona esta Mediana Empresa y evitar los accesos indebidos de personal no

autorizado a la red.

10

OBJETIVOS ESPECFICOS

Evaluar las polticas de seguridad que deben ser tomadas en cuenta en la

implementacin de una DMZ (Zona Desmilitarizada) en la empresa IT/CORP y

eliminar las comunicaciones directas entre la red corporativa interna y la red

pblica o internet.

Estudiar la configuracin adecuada de los accesos que debe tener el firewall para

la correcta elaboracin de la gua de implementacin de la DMZ (Zona

Desmilitarizada).

Establecer los lineamientos para elaborar la gua de implementacin de una DMZ

(Zona Desmilitarizada) en la empresa IT/CORP, como un mecanismo de

seguridad en la red de esta Mediana Empresa.

11

ALCANCES

Se entrevistar al jefe de redes para determinar el diseo de red que se maneja en

la empresa IT/CORP.

Investigar el diseo de red que maneja actualmente la empresa IT/CORP.

Investigar los tipos de estructura de red que se puedan manejar cuando se utiliza

una DMZ.

Determinar el modelo de estructura de DMZ que ser sugerido como referencia

para ser incorporado en la red de la empresa IT/CORP.

Investigar el software, hardware adecuado que podra ser utilizado cuando se

implemente una DMZ en la red, que mejor se adapte al costo/beneficio de la

empresa IT/CORP.

Investigar los servicios que se deben configurar para la adecuada utilizacin de la

DMZ en la red de la empresa IT/CORP.

Configurar los servicios que se van a restringir y permitir para los usuarios de la

empresa IT/CORP.

12

JUSTIFICACIN E IMPORTANCIA

La seguridad de la informacin y los equipos son cada vez ms importante en una

empresa ya que de ellos depende su comunicacin con otras empresas y la integridad

de su informacin, es por ello que se debe contar con una red cada vez ms segura.

Con la elaboracin de la gua de implementacin se ver beneficiada la empresa

IT/CORP, la cual podr realizar de manera prctica una implementacin de una DMZ

para asegurar la red de personal no autorizado que desea daarla, y as contar con una

proteccin adicional en esta organizacin.

As mismo se sabr cmo mantener segura la informacin de personal no autorizado,

cuya modificacin solo sea realizada por las personas que se encuentren acreditadas y

dentro de los lmites de autorizacin establecidos por la empresa. En consecuencia,

ayudar a que el personal tenga conocimientos de cmo realizar una DMZ en la

organizacin, para proteger la integridad de la informacin y la imagen tecnolgica

que refleja la empresa al exterior.

13

El personal competente al analizar los riesgos que conlleva no tener protegida la

informacin confidencial que se maneja en la empresa, los conduce a la necesidad de

manejar una mejor estructura en la red en la organizacin, es por ello que nace el

inters de contar con una gua de implementacin de una DMZ, con el propsito de

tener una propuesta de estructura de red, que pueda ser utilizada en la empresa

IT/CORP.

14

CAPTULO II

MARCO TERICO

ANTECEDENTES DEL ESTUDIO

Para dar inicio a la comprensin del problema planteado, en el presente proyecto se

analizaron varios trabajos de investigacin, que de manera indirecta proporcionaron

una base para el proceso de inicio de desarrollo del problema planteado, a

continuacin se mencionan los que sirvieron de antecedentes para la realizacin del

presente proyecto.

Entre los trabajos de investigacin se encuentran el de Ferrer Berbejal, Mnica

(Enero, 2006), para optar por el ttulo de Ingeniera Tcnica de Telecomunicaciones

en la Universidad Politcnica de Catalua, titulada Firewalls software: Estudio,

instalacin, configuracin de escenarios y comparativa; en este trabajo se plantea un

estudio, implementacin y anlisis de tres tipos de firewall, los cuales estn

implementados en diferentes Sistemas Operativos como: Debian Sarge de Linux,

Windows Server 2003 y OpenBSD, en los cuales se configuran los servicios ms

comunes que ofrece una empresa y que deben ser protegidos por medio de un

firewall, adems se realiza una simulacin y anlisis de las vulnerabilidades que

15

presentan los firewalls por medio de la herramienta Nessus. Este trabajo de

investigacin est disponible en:

upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf

Arellano, Gabriel (Marzo, 2005), Facultad Regional Concepcin del Uruguay en la

Universidad Tecnolgica Nacional, titulada Seguridad Perimetral, plantea

alternativas de implantacin para obtener una mayor seguridad en la red, como: DMZ

con Muro Doble, Router Apantallados, Firewall, utilizacin de servicios Proxys e

indica los diseos que se pueden considerar cuando se utilizan cada una de las

alternativas de implantacin. Esta investigacin est disponible en la siguiente

direccin: www.gabriel-arellano.com.ar/file_download/14

Zrate Prez, Jorge A. y Farias Elinos Mario (Abril, 2006), titulada Implementacin

de una DMZ, en esta investigacin muestra las lneas de configuracin para el

sistema OpenBSD, NetFlow, la sintaxis de reglas para realizar un filtrado de paquetes

en la red, bloquea los paquetes falsificados (spoofing), ofrece como realizar NAT

(Network Address Translation) y varias configuraciones para poder implementar una

DMZ; una de las conclusiones a las cuales llego esta investigacin es que la DMZ

permite tener un nivel de seguridad aceptable, obtener un mayor control usuario-

servicio, adems que se requiere de un bajo mantenimiento de la misma y ofrece la

16

inspeccin de paquetes a nivel de aplicacin. Esta investigacin est disponible en la

siguiente direccin:

http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf

Conza Gonslez, Andrea Elizabeth (Septiembre, 2009), para optar por el ttulo de

Tecnlogo en Anlisis de Sistemas Informticos en la Escuela Politcnica Nacional

de Quito, titulada Diseo e Implementacin de un prototipo de DMZ y la

interconexin segura mediante VPN utilizando el Firewall Fortigate 60, este trabajo

de investigacin plantea diferentes alternativas de hardware y software que se pueden

utilizar en la implementacin de una DMZ, la alternativa de diseo de red que se

puede implementar en el LTI (Laboratorios de Tecnologas de Informacin), la

configuracin de los servicios que se van a ofrecer en la DMZ a travs del Firewall

Fortigate, configuraciones de VPN en la red LTI, adems se realizan pruebas del

funcionamiento de la DMZ y la VPN. Una de las recomendaciones que se estableci

en el trabajo de investigacin es que se deben analizar las polticas que se

implementen en el Firewall para evitar conflictos con los usuarios de la organizacin.

Esta investigacin est disponible en la siguiente direccin:

http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf

17

Estos trabajos de investigacin proporcionaron puntos importantes a tener en cuenta

en la realizacin del presente proyecto, como son la adecuada utilizacin de las reglas

que se vayan implementar en el Firewall y de los servicios que se vayan a utilizar en

la DMZ, adems sirvieron como adquisicin de conocimientos en la utilizacin de

diferentes Sistemas Operativos y hardware que se pueden utilizar en la

implementacin de una DMZ en la red.

FUNDAMENTACIN TERICA

RED DE COMPUTADORAS

Una red es un conjunto de equipos conectados entre s, a travs de cables de red,

ondas o cualquier mtodo de transmisin de datos, que se encargan de trasmitir

informacin a quienes lo requieran y a su vez compartir recursos y servicios.

MODELO OSI

Se refiere al conjunto de etapas definidas por las que tienen que pasar las

transferencias de datos en las redes. El Modelo de Referencia de Interconexin de

Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System

Interconnection), fue creado por el ISO (Organizacin Internacional de Estndares),

18

con la finalidad de hacer ms fcil la comunicacin entre las redes a pesar de sistemas

operativos, arquitecturas, localizacin y fabricantes distintos. En las capas del modelo

OSI cada dato se prepara para ir a la siguiente capa.2

GRFICO N. 1

CAPAS DE MODELO OSI

Elaboracin: Cecilia Urbina Fuente:http://cecilia-urbina.blogspot.com/2010/08/modelo-

osi.html

2 Fuente: http://cecilia-urbina.blogspot.com/2010/08/modelo-osi.html

19

Capas Del Modelo OSI

Capa Fsica

Es el primer nivel del Modelo OSI y se encarga de las conexiones fsicas que debe

cumplir el sistema para que el computador pueda operar normalmente en la red, como

el cableado, las conexiones entre las computadoras de la red, velocidad de

transferencia, comunicacin entre equipos o host y el flujo de bits.

Capa De Enlace

Esta capa obtiene los bits transmitidos por la capa fsica, adems se encarga de la

deteccin y control de errores que ocurren en esta capa, para esto agrupa la

informacin que se va transmitir en unidades llamadas trama (bits ordenados) o

bloques y los transmite a travs del medio (LAN y WAN) e incluye en cada trama

algoritmos los cuales permiten comprobar la integridad fsica de la trama.

Capa De Red

Esta capa es la encargada de determinar la transmisin de los paquetes, la forma en

que sern enviados los datos y de encaminar cada uno a la direccin adecuada. Este

nivel puede subdividirse en transporte y conmutacin.

20

Transporte.- Es la encargada de encapsular los datos que van a ser

transmitidos, en este nivel se encuentra el protocolo IP (Internet Protocol)

encargada de encapsular los datos que se van a transmitir.

Conmutacin.- Es la encargada de intercambiar informacin de conectividad

de la red, los router son dispositivos que trabajan en este nivel de la capa del

Modelo OSI, en este nivel se encuentra el protocolo ICMP (Internet Control

Message Protocol), este protocolo es el responsable de generar los mensaje

cuando ocurre algn problema en la transmisin.

Capa De Transporte

Esta capa garantiza la calidad de la comunicacin debido a que se asegura la

integridad de los datos por medio de algoritmos de deteccin y correccin de errores,

es aqu donde se envan los paquetes de la ruta de origen a la ruta destino, determina

cmo y cuando se deben dividir los mensajes en trozos (datagramas), adems de

utilizarse la retransmisin para asegurase que lleguen los paquetes.

21

Capa De Sesin

Es la encargada de controlar la conexin entre dos computadoras que estn realizando

una transmisin de los datos, es un espacio de tiempo que se asigna para acceder al

sistema por medio del login y obtener acceso a los recursos del computador, adems

si ocurre una interrupcin se encarga de reanudar la conexin.

Capa De Presentacin

Es la primera capa que se encarga de la representacin de los datos a la capa de

aplicacin, esta capa utiliza los datos recibidos y los transforma en formatos que

puedan ser entendidos por la capa de aplicacin como son: imgenes, sonio, video,

audio, etc.

Capa De Aplicacin

Es la capa ms cercana al usuario y a diferencia de los dems niveles no proporciona

ningn servicio a ningn otro nivel, lo que realiza es una interaccin con la capa de

presentacin y se refiere a las aplicaciones de red que se van a utilizar, adems

determina los protocolos que se van a utilizar para intercambiar datos como: HTTP,

SMTP, POP, IMAP, etc.

22

MODELO TCP/IP

El Modelo TCP/IP es un software, el cual puede ser implementado en cualquier tipo

de red, est compuesto por cuatro capas o niveles, no define una capa fsica ni de

enlace, en este modelo cada nivel se encarga de determinados aspectos de la

comunicacin. Todos los protocolos TCP/IP se encuentran en los tres niveles

superiores de este modelo.

GRFICO N. 2

CAPAS DE MODELO TCP/IP

Elaboracin: Microsoft Fuente:http://technet.microsoft.com/es-es/library/cc786900%28WS.10% 29.aspx

23

Capas Del Modelo TCP/IP

Capa De Acceso A La Red

Esta capa especifica cmo se envan fsicamente los datos a travs de la red, incluye

todos los detalles de la capa Fsica y Enlace del Modelo OSI, realiza asignaciones IP

a las direcciones Fsicas, encapsulamiento de los paquetes IP en tramas, adems

definir la conexin con los medios fsicos.

Capa De Internet

En esta capa realiza un enrutamiento de los datos en datagramas IP, que contendrn la

direccin origen y destino, tiene como propsito seleccionar la mejor ruta para el

envi de los paquetes por la red. Se utiliza el Protocolo de Internet (IP, Internet

Protocol) para el servicio de encaminamiento a travs de varias redes.

Capa De Transporte

Proporciona servicios de transporte entre el host origen y el host destino, aqu se

forma la conexin lgica entre los puntos de la red, adems proporciona una

segmentacin de los datos de la capa superior y es el encargado de definir el nivel de

servicio y el estado de la conexin utilizada al transportar datos. El protocolo que se

24

utiliza en esta capa es el TCP (Transmission Control Protocol) Protocolo que

Controla la Transmisin.

Capa De Aplicacin

Esta capa maneja los protocolos de alto nivel, aspectos de representacin,

codificacin y control de dilogo, tambin contiene las especificaciones para efectuar

las aplicaciones comunes y cmo se conectan los programas de host a los servicios

del nivel de transporte para utilizar la red, TCP/IP tiene protocolos que soportan la

transferencia de archivos, e-mail, y conexin remota, como son los protocolos: FTP,

TFTP, NFS, SMTP, TELNET, SSH.

DIRECCIONES IP

Los equipos para comunicarse en una red, requieren de una direccin de red nica, se

utiliza esta direccin IP para diferenciar un equipo de otro y ayuda a localizar donde

se encuentra este equipo en la red. Existen cuatro clase de direcciones IP que se

utilizan para ser asignadas a los equipos, la clase depender del tamao y tipo de red

que se utilice.

25

Una direccin IP est formada por 32 bits que se agrupan en octetos, adems est

compuesta por dos partes:

ID de Red.- Es la primera parte de la direccin de red, es la que define el

segmento de red al que pertenece el equipo. Todos los equipos del mismo

segmento deben tener el mismo ID de Red. Estn colocados siempre a la

izquierda en la direccin de red.

ID de Host.- Es la segunda parte de la direccin de red, son los bits que

distinguen a un equipo de otro dentro de una red. Estos bits estn colocados en

la parte derecha de la direccin de red.

Clases De Direcciones IP

Existen cuatro clases de direcciones IP segn el tamao de la red de la organizacin,

se optara por un tipo u otro.

Direcciones De Clase A

Las direcciones de clase A, son asignadas a redes con un nmero alto de equipos.

Solo existen 124 redes, los tres bytes de la izquierda representan los equipos de la red.

Esta clase corresponde a redes que pueden direccionar hasta 16.777.214 mquinas

26

cada una, lo cual indica que para las Direcciones de Clase A, las redes van de 1.0.0.0

a 126.0.0.0. Adems el primer bit siempre es 0. La direccin de red 127.0.0.0 se

reserva para las pruebas loopback.

Direcciones De Clase B

Las direcciones de red de clase B, permiten direccionar 65.534 mquinas cada una,

donde los primeros dos bits son siempre 0 y 1. Esto significa que hay 16.382 redes

posibles, es decir, por lo cual una Direccin de Clase B, va de 128.0.0.0 a

191.255.0.0.

Direcciones De Clase C

Las direcciones de red de clase C, se utilizan para redes de rea local pequea LAN,

permiten direccionar 254 mquinas. Existen 2.097.152 direcciones de red de clase C,

por lo tanto, las direcciones van desde 192.0.0.0 a 223.255.255.0. Donde los primeros

tres bits son 1,1 y 0.

Direcciones De Clase D, E y F

Las direcciones de clase D, E y F son un grupo especial no se las asigna a host, se las

utiliza para multicast, un servicio que permite trasmitir material a muchos puntos en

27

una internet a la vez. Donde los cuatro primeros bits son 1110, para una direccin de

clase D, E y F, las direcciones van 224.0.0.0 hasta 254.0.0.0

SEGURIDAD INFORMTICA

La seguridad es la ausencia de peligro, que tiende a garantizar la estabilidad,

integridad y confiabilidad de algo o alguien. La seguridad informtica consiste en

asegurar que los recursos del sistema de informacin (material informtico o

programas) sean utilizados de la manera correcta y que el acceso a la informacin

almacenada, as como su modificacin, slo sea posible por las personas autorizadas.

POLTICAS DE SEGURIDAD

Una poltica de seguridad es tener una directiva predeterminada y una coleccin de

acciones a realizar en respuesta a tipos de mensajes especficos. Cada paquete se

compara, uno a uno, con cada regla de la lista hasta que se encuentra una

coincidencia. Si el paquete no coincide con ninguna regla, fracasa y se aplica la

directiva predeterminada al paquete.3

3 Tesis: Firewalls software: Estudio, instalacin, configuracin de escenarios y comparativa Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf

28

TIPOS DE ATAQUE

Spoofing

El intruso simula la identidad de otra mquina de la red para conseguir acceso a

recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el

nombre o la direccin IP del host suplantado. El propsito de estos ataques es tentar

al host atacado, para que acepte datos como si vinieran de la fuente original o bien

para recibir datos que deberan ir hacia la mquina suplantada y alterarlos.34

Sniffing

El Sniffing (husmear en la red) es un tipo de ataque de interceptacin en el que una

mquina diferente a la mquina destino lee los datos de la red. Esto tiene que ver con

el uso de una interfaz de red para recibir datos no destinados a la mquina donde se

encuentra dicha interfaz. 3

Negaciones de Servicio (DoS)

Las negaciones de servicio o Denial of Service son ataques dirigidos contra un

recurso informtico con el objetivo de degradar total o parcialmente los servicios


29

prestados por ese recurso. En entornos donde la disponibilidad es valorada por

encima de otros parmetros de la seguridad global puede convertirse en un serio

problema, ya que se podra interrumpir constantemente un servicio sin necesidad de

grandes recursos. Por otra parte este tipo de ataques constituyen en muchos casos uno

de los ataques ms sencillos y contundentes contra todo tipo de servicios. La

inhabilitacin de un servicio se suele hacer porque el atacante lo ha bloqueado

totalmente o porque el propio servicio ha estado sometido a constantes ataques

DoS.35

Barridos PING

Uno de los ataques ms comunes de Denegacin de Servicio es el envo continuado

de paquetes ICMP contra una direccin IP, de manera que respondan todas las

mquinas que se encuentren en esa red. Este tipo de ataque puede ser fcilmente

detectado por el administrador de la red ya que genera una gran cantidad de trfico.3

Escaneo de puertos

Este tipo de ataque es utilizado con herramientas que verifican los puertos que se

encuentran abiertos en la red para de esta manera poner ingresar y controlar la red,

tambin son utilizados para verificar los fallos en la red.


30

PARA EVITAR ATAQUES EN LA RED

Para evitar ataques se debe codificar o cifrar la informacin, es decir, tener

contraseas de acceso, las cuales sean difciles de averiguar a partir de datos

personales del individuo. Realizar una vigilancia y monitoreo de la red, contar con

una Zona Desmilitarizada, contar con tecnologas protectoras como los cortafuegos o

Firewall, sistema de deteccin de intrusos antispyware, antivirus, llaves para

proteccin de software, etc., proteger los sistemas de informacin con las

actualizaciones de seguridad ms importantes.

SERVIDORES

Servidor DNS

Un servidor DNS (Domain Name Service), se utiliza para proporcionar a las

computadoras de los clientes un nombre similar a las direcciones IP. Este servidor

trabaja de forma jerrquica para intercambiar informacin y obtener direcciones IP de

otras LAN. El uso de este servidor es transparente para los usuarios cuando ste est

bien configurado.

31

Servidor DHCP

Para que un equipo pueda comunicarse y realizar intercambio de informacin a travs

de la red, requiere de una direccin IP y una mscara, el Servidor DHCP (Dynamic

Host Configuration Protocol), es el encargado de proporcionar una configuracin

dinmica de las direcciones IP para los equipos que se encuentran dentro de la red de

la organizacin, adems con la utilizacin de este servidor se puede evitar la

asignacin de IP de manera manual.

Servidor De Correo

El correo electrnico es el servicio ms utilizado hoy en da y que ofrece la

posibilidad de comunicarse rpidamente con todo el mundo desde una estacin de

trabajo, en el cual intervienen tres agentes el remitente, el agente de trasporte de

correo y el destinatario. El remitente es el que da el formato, lo dirige y entrega al

agente de transporte de correo, este agente es el encargado de aceptar los mensajes de

los usuarios y encamina el mensaje por la red adecuada y el reenvo y finalmente el

destinatario, entrega los mensajes al receptor.

32

Servidor de FTP

El servidor FTP (File Transfer Protocol), ofrece transferencia de ficheros de un

directorio a otro, se utiliza de modo cliente-servidor, el cliente FTP indica que desea

acceder a los datos contenidos en el servidor, el servidor proporciona la direccin y el

puerto aleatorio para permitir el acceso, luego el cliente se conecta y descarga la

informacin deseada.

ZONA DESMILITARIZADA (DMZ)

Una Zona Desmilitarizada (DMZ, Demilitarized Zone) o tambin conocida como Red

Perimetral, es una pequea red local que se ubica entre la red interna de la

organizacin y la red externa generalmente el internet.

El objetivo de una DMZ es controlar los accesos desde el exterior hacia el interior de

la red de la organizacin para proteger la confidencialidad de los datos que son

manejados en la red y controlar los accesos desde la red interna hacia el exterior de la

red, en caso de que intrusos intente comprometer la seguridad de los equipos situados

en la red, por lo cual con la utilizacin de una DMZ se pude obtener un mayor nivel

de seguridad en la red de la organizacin.

33

Una DMZ se la utiliza frecuentemente para ubicar servidores que se requieren que

sean accedidos desde el exterior de la red, como lo son Correo, FTP, Web, etc., una

DMZ se crea a travs de las configuraciones del Firewall, por lo cual existen varios

tipos y diseos de Firewall.

Contar una DMZ en la red nos ofrecer ciertas ventajas como tener mayor tolerancia

a fallos, se podr tener un mayor control de los accesos permitidos a los usuarios,

mayor flexibilidad debido a que se pueden definir varias DMZ tanto como se necesite

para proteger la red de accesos inseguros, adems no se tendr accesos directos a la

red interna de la empresa.

Es posible agregar varios niveles de DMZ agregando mas Router o Firewall, pero las

reglas que se le apliquen a cada uno deben ser distintas, de lo contrario los niveles de

DMZ se especificarian como si se tuviera uno solo.

El siguiente grafico se utilizan dos Firewall, el exterior tiene como mision evitar el

trafico hacia la red interna y hacia la red externa, el Firewall interior evita el trafico

34

entre la red interna y la DMZ, la configuracion de los sistemas Dual Host pueden

ser complicados.

GRFICO N. 3

CAPAS DE MODELO SCREENED SUBNET

Elaboracin: Unin Internautas Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16

&t=3611

Pero si se realiza una adecuada configuracion y administracion brinda algunas

ventajas de seguridad, como: ocultamiento de la informacion, registro y autenticacin

de actividades, reglas de filtrado menos complejas, entre otras.

Sin embargo, la DMZ tambin tiene ciertas limitaciones como: dificultad en la

administracin de reglas del Firewall que deben trabajar en conjunto para los accesos

35

a la red, si las reglas no estn bien elaboradas se puede tener una sensacin de falsa

seguridad en la red de la organizacin.

HISTORIA DE LA DMZ

El nombre al sistema DMZ, es tomado de una franja de terreno neutral que separa a

Corea del Sur con Corea del Norte, es tomado de la Guerra de Corea que se

encontraba vigente y en tregua desde 1953, a pesar de que esta zona desmilitarizada

es un terreno neutral es una de las ms peligrosas del planeta, por lo cual DMZ se

refiere a un rea entre dos enemigos.

FIREWALL

Un Firewall o Cortafuegos es un sistema de seguridad de redes en el que se protege

una mquina o subred de servicios que desde el exterior puedan suponer una amenaza

a su seguridad. Dicho en otras palabras, es un sistema de aislamiento entre dos o ms

redes para evitar comunicaciones indeseadas. El Firewall acta de filtro, de manera

que examina todos y cada uno de los paquetes de informacin en base a unas reglas

definidas. Es bajo una poltica de seguridad que decide qu paquetes puede aceptar,

cules modificar o cules bloquear.36


36

Categoras De Los Firewall

Identificar los distintos firewall que existen, nos permitir tener una idea ms clara de

las configuraciones que se deben realizar para implementar una DMZ en la red de la

empresa IT/CORP. Se indicara una descripcin general de las categoras de Firewall

que existe, como son: Firewalls de Filtracin de Paquetes (Choke), Servidores Proxy

a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) y Firewalls de Inspeccin de

Paquetes (SPI, Stateful Packet Inspection).

Firewalls de Filtracin de Paquetes (choke)

En esta categora se aprovecha la utilidad del router para realizar el Filtrado de

Paquetes, permite al administrador de red definir un conjunto de reglas para aceptar o

denegar un paquete que se vaya a transmitir a travs de la interfaz de red.

El Firewall verifica esta direccin IP, de donde proviene el trfico entrante y rechaza

todo trfico que no coincida con la lista de direcciones que se manejan en el Firewall.

El Firewall de Filtracin de Paquetes trabaja a nivel de la capa de transporte y capa de

37

red del modelo OSI y estn conectados a ambos permetros de la red (interior y

exterior).

El filtrado de paquetes se lo realiza segn la informacin contenida en un paquete,

como:

IP origen y destino

Puerto origen y destino

Protocolo usado TCP/UDP.

GRFICO N. 4

FILTRACIN DE PAQUETES (CHOKE)

Elaboracin: Grupo de Seguridad del CEM Fuente: Firewall.ppt

38

El filtrado de paquetes mediante direcciones IP y puertos, permite al administrador de

la red establecer los servicios que estarn disponibles y determinar para que usuarios

y por cuales puertos estarn disponibles.

Estos Firewalls tienen las ventajas de ser transparentes para los usuarios conectados

en la red y tiene alta velocidad. Sin embargo presenta debilidades como: IP spoofing

(Espionaje IP), la idea de este ataque es que los datos parecen originarse de una

fuente confiable o incluso de una direccin IP propia de la red, no protege las capas

superiores del modelo OSI, adems las reglas de filtrado de paquete son difciles de

configurar y monitorear, cualquier error en la configuracin puede dejarlo vulnerable

ante los ataques.

Servidores Proxy a Nivel de Aplicacin (Proxy Gateway de Aplicaciones)

Es un software de aplicacin, el cual ser encarga de examinar las aplicaciones

utilizadas por los paquetes, con la finalidad de comprobar la autenticacin de los

mismos. Estas aplicaciones se las conoce como Servidores Proxy y la maquina donde

se ejecuta recibe el nombre de Gateway de Aplicaciones o Bastin Host.

39

El proxy acta como intermediario entre el servidor que se desea acceder y los

equipos de una organizacin, siendo transparente para ambas partes, cuando un

usuario desea un servicio en realidad no acceda directamente al servidor, sino que

realiza una peticin al proxy. Este realiza la conexin con el servicio que se desea

acceder y devuelve el resultado al usuario que solicito el servicio. Su funcin es la de

analizar el trfico en busca de algn contenido que viole la seguridad de la red.

GRFICO N. 5

PROXY GATEWAY

Elaboracin: Unin Internautas Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16

&t=3611

El trafico de cada aplicacin requiere de una instalacin y configuracin para cada

servicio como: HTTP, FTP, SMTP/POP3. Las ventajas que muestra este Firewall es

que ofrece una mayor seguridad que el de Filtrado de Paquetes, sin embargo tambin

tiene sus desventajas, como que no utilizan reglas de control de acceso para garantizar

la conexin, la posibilidad de que personas puedan navegar annimamente, adems

40

puede convertirse en un limitador al no permitir acceder a ciertos puertos y

protocolos.

Firewalls de Inspeccin de Paquetes (SPI, Stateful Packet Inspection).

Este Firewall examina todos los componentes de los paquetes que circulan por la red,

con la finalidad de decidir si es aceptado o rechazado, inspecciona la comunicacin

entrante y saliente para verificar si realmente fue solicitada entonces podr aceptarla,

de lo contrario la rechazara.

GRFICO N. 6

INSPECCIN DE PAQUETES

Elaboracin: Grupo de Seguridad del CEM Fuente: Firewall.ppt

41

Los datos que son aprobados pasan al siguiente nivel de inspeccin y el software

determinar el estado de cada paquete de datos, as como tambin la procedencia y

destino del mismo. Este Firewall se aplica desde la capa de red hasta la capa de

transporte del Modelo OSI.

TIPOS DE FIREWALL

Unos de los mayores inconvenientes que puede presentar un Firewall es que no

protege de los ataques internos que se puedan producir en la red de la empresa, por

ello es conveniente utilizar Firewalls internos, con la finalidad de brindar una

proteccin desde el interior de la red.

Para determinar el tipo de Firewall adecuado para proteger la red de la empresa, hay

que tener en consideracin los requerimientos de negocio de la empresa y el tamao

de red de la misma, de acuerdo a la implementacin un Firewall se clasifican en:

Firewall Appliance (Basados en Hardware)

Firewall Basados en Software (gratuitos y comerciales)

Firewall Appliance (Basados En Hardware)

42

La mayora de los Firewall Appliance son dispositivos hardware dedicados, estos

equipos son colocados entre la red de la empresa y el internet, cuya funcin es la de

implementar una poltica de acceso, son mquinas diseadas exclusivamente para

trabajar como Firewall especialmente para realizar filtrado de paquetes, la diferencia

con los Firewall por Software es que estos equipos son elaborados para realizar esta

funcin y suelen venir preconfigurados, de modo que solo sea necesario conectarlo a

la red, las actualizaciones son automticas y pueden ser menos susceptibles a las

fallas de seguridad que se presentan en los Sistemas Operativos utilizados para

Firewall, debido a que estos Firewalls integran Sistemas Operativos desarrollados

especficamente para ser utilizados como Firewall.

Por lo general, los dispositivos de Firewall son ms fciles de instalar y configurar

que los productos de Firewall de Software, adems reducen la necesidad de escoger

entre hardware, sistema operativo y software de filtrado debido a que todo viene

configurado en un solo paquete, requieren un nivel de mantenimiento menor que los

Firewall por Software y proporcionan un mayor nivel de seguridad aunque pueden ser

muy costosos.

43

Alternativas De Firewalls Appliance

3Com Office Connect Internet Firewall DMZ

GRFICO N. 7

3COM OFFICECONNECT

Elaboracin: 3Com Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features

&sku=3C16771-US&pathtype=support

Este firewall bloquea el acceso no autorizado de la red, vienen preconfigurados y

previene de ataques de denegacin, ataques de hackers de servicio, disponible para

100 usuarios. Un puerto DMZ permite a los clientes acceder a su sitio sin exponer su

44

red a los ataques. Para la seguridad global, tambin puede controlar y monitorear el

acceso a Internet por los usuarios de LAN.47

CUADRO N. 2

CARACTERSTICAS Y DESCRIPCIN 3COM OFFICECONNECT

Caractersticas Descripcin

Hardware

Sistemas operativos compatibles: Windows 2000 / 98 / 95/NT, Windows para Trabajo en Grupo, UNIX, Mac OS 7.5.3 y anteriores.

Tenga en cuenta que este producto requiere de un mdem o router con una 10BASE-T o la conexin Ethernet 10/100 BASE-TX.

Interface

3 Puertos RJ-45 10BASE-T 1 Puerto DMZ 1 Puerto LAN a una red Ethernet

de 10 Mbps o 10/100 Mbps switch.

Conexin ISP

Networking

Protocolos soportados: TCP / IP, Dynamic Host Configuration Protocol, Network Address Translation

Soporta hasta 100 usuarios

Detalles Evita los ataques de denegacin de

servicios de hackers tales como: Ping de la Muerte, inundaciones

4Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771-US&pathtype=support

45

SYN, ataque por tierra, suplantacin de IP, y Bonk

Elaboracin: Marixelinda Espaa Escobar Fuentes:

http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771-US&pathtype=support

http://latam.preciomania.com/search_techspecs_full.php/masterid=256926/st=product_tab

Cisco ASA 5505 Firewall Edition Bundle

GRFICO N. 8

ASA 5505

Elaboracin: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2

56926/st=product_tab

El Cisco ASA 5505 Adaptive Security Appliance, es un dispositivo de seguridad con

todas las funciones para las pequeas empresas, sucursales y entornos empresariales

que ofrece firewall de alto rendimiento, SSL e IPsec, VPN, redes y servicios ricos en

un sistema modular, "plug-and-play" aparato. Uso de la Web integrado basado en

Cisco Adaptive Security Device Manager, que puede ser desplegado rpidamente y

de fcil manejo, permite a las empresas minimizar los costos de operaciones. El Cisco

46

ASA 5505 ofrece un switch de 8 puertos 10/100 Fast Ethernet, cuyos puertos se

pueden agrupar de forma dinmica para crear hasta tres VLAN separada para el

hogar, los negocios y el trfico de Internet para la segmentacin de red mejorada y la

seguridad.58

CUADRO N. 3

CARACTERSTICAS Y DESCRIPCIN CISCO ASA 5505


Hardware RAM instalada (mx.) 256 MB Memoria flash (mx.) 64 MB Flash

Interface

Protocolo de interconexin de datos Ethernet, Fast Ethernet

Red / Protocolo de transporte: IPSec Capacidad Peers VPN IPSec: 25

Peers VPN SSL : 2

Sesiones concurrentes: 25000 Interfaces virtuales (VLAN): 20 1 Puerto DMZ

Networking Rendimiento Capacidad del

cortafuegos: 150 Mbps

Capacidad de la VPN: 100 Mbps

5Fuente:http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo_seguridad_series_asa5500.html

47

Detalles

Soporte para dos VPN para comunicacin entre oficinas, con expansin de hasta 25 empleados

Soporte para cualquier tipo de red de rea local desde 5 usuarios.

Appliance de seguridad que integra VPN.

Switch de 8 puertos 10/100 que pueden ser agrupados en 3 VLans.


http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo_seguridad_series_asa5500.html


SonicWall PRO 2040 VPN/Firewall

GRFICO N. 9

SONICWALL PRO 2040

Elaboracin: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/maste

rid=2378586/st=product_tab

48

SonicWall ofrece la serie PRO es una plataforma de seguridad multiservicio para

empresas que requieren slida proteccin de red, junto con un rpido y seguro acceso

a VPN para trabajadores remotos.69

Vinculado a organizaciones que mueven grandes cantidades de datos crticos a travs

de extensas topologas de red complejas. Optimizado para redes de 200 o 50 lugares

en la red, PRO 2040 rene las ventajas del sistema operativo SonicOS en un

dispositivo econmico, rack montado, combina cortafuegos de inspeccin profunda

de paquetes y capacidades de VPN IPSec. Con soporte para Gateway anti-virus,

antispyware, prevencin de intrusiones, filtrado de contenido y bloqueo de spam para

ofrecer seguridad en capas de red.710

CUADRO N. 4

CARACTERSTICAS Y DESCRIPCIN SONICWALL PRO 2040


Hardware

RAM instalada 128 MB Memoria flash instalada (mx.) 64

MB Flash

Interface

1 puerto RJ-45 10/100Base-TX LAN

1 puerto RJ-45 10/100Base-TX WAN

1 puerto RJ-45 10/100Base-TX

6 Fuente: http://www.sonicwall.com/lat/TotalSecure_Solutions.html 7 Fuente: http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=product_tab

49

DMZ

1 puerto RJ-45 Console Management

Networking

Escanea ms de 50 protocolos de red Tneles VPN 50 de Sitio a Sitio Clientes VPN (mximo) 200 25 Interfaces VLAN

Detalles

Optimizado para redes de hasta 200 nodos o 50 lugares en la red.

Es un tipo de producto Appliance VPN

25.000 Firmas de Amenazas


http://www.sonicwall.com/lat/TotalSecure_Solutions.html http://latam.preciomania.com/search_techspecs_full.php/masterid=23785

86/st=product_tab

Netgear ProSecure UTM25

GRFICO N. 10

NETGEAR PROSECURE UTM25

Elaboracin: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2

378586/st=product_tab

50

Ideal para empresas que buscan ampliar la eficacia de puerta de enlace de seguridad

en un paquete de alto rendimiento. Incluyen anti-malware/anti-virus lderes en la

industria de exploracin, hbrido en la nube, filtrado de URL, distribuidas Anlisis de

Spam y Anti-Spam con una en el arquitectura de las nubes, HTTP / HTTPS de

inspeccin, SSL e IPSec VPN y soporte VoIP.811

NETGEAR ProSecure Gestin Unificada de Amenazas (UTM) combinan

rendimiento con cobertura de la seguridad global. Pendiente de patente de tecnologa

Stream Scanning permite el uso de una extensa base de datos de virus y software

malicioso, manteniendo un alto nivel de rendimiento y minimizar la latencia de

exploracin.912

CUADRO N. 5

CARACTERSTICAS Y DESCRIPCIN NETGEAR PROSECURE UTM25


Interface

2 Puertos RJ-45 WAN 10/100/1000 Base-T

1 Zona de despeje 4 Puertos LAN RJ-45 10/100/1000

Base-T

1 puerto consola RS-232 de

8 Fuente: http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php 9Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=product_tab

51

administracin

1 puerto USB

Networking

Filtrado de URL HTTP / HTTPS de inspeccin SSL e IPSec VPN Soporte VoIP. 8.000 conexiones concurrentes

mximo

90 Mbps de Inspeccin de Paquetes

Detalles

Dimensiones: 1,70 cm Altura x 13 "de ancho x 8.20" de profundidad

15 Mbps promedio de Lucha contra el virus de rendimiento


http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php


ZyXEL ZyWALL USG 100

GRFICO N. 11

ZYXEL ZYWAL USG100

Elaboracin: ZyXel

52

Fuente: http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A

El ZyWALL USG 100 es de alto rendimiento, inspeccin profunda de paquetes

plataforma de seguridad para pequeas y medianas oficinas. Se incorpora un firewall,

deteccin de intrusiones y prevencin (IDP), filtrado de contenido, anti-virus, anti-

spam, y VPN en una sola caja.1013

CUADRO N. 6

CARACTERSTICAS Y DESCRIPCIN ZYXEL ZYWALL USG 100


Hardware Memoria 256 MB DDR2 RAM 256 MB de memoria Flash

Interface

1 Puerto RJ-45 10/100/1000 Base-T

DMZ

10Fuente:http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A

53

4 Puertos LAN RJ-45 10/100/1000 Base-T

2 Puertos WAN RJ-45 10/100/1000 Base-T

2 Puertos USB 1 Puerto de consola DB-9 RS-232 de

administracin.

Networking

IPSec VPN SSL VPN filtro de contenido Anti-Virus IDP (deteccin y prevencin de

intrusiones)

Detalles

25 Usuarios PC Certificado por ICSA Dimensiones del Producto: 1,40 cm

Altura x 9,50 cm Anchura x 6,90 cm Profundidad.

Elaboracin: Marixelinda Espaa Escobar Fu

TOMO 1.pdf

Documents

Transcript of TOMO 1.pdf